Lets Encrypt Zertifikat erstellen/erneuern

Ja, so hab ich es gemeint. Ist inzwischen 80 und 443 weitergeleitet?
 
:-( dumm gelaufen...

Ich habe jetzt Methode BRUTAL angewendet und habe das Zertifikat auf der Syno gelöscht, also zurück zum Syno-Zertifikat. Als ich dann das Zertifikat bei Let's Encrypt neu beantragt habe, kam wieder der altbekannte Fehler - beim ersten Versuch...

Beim zweiten Versuch kam jetzt die Fehlermeldung "zu viele Versuche für die Domain" von Let's Encrypt.

Mist!

Was kann ich jetzt tun? Wie lange muss ich warten?
 
Ich habe noch eine weitere mögliche Fährte: ich bin bei Strato und schaffe es nicht, in der Kombination Strato/Syno/Let's Encrypt Wildcards für meine Subdomains einzurichten. Deshalb habe ich alle Subdomains (foo.mydomain.de, bar.mydomain.de usw.) einzeln bei Strato, bei DynDNS und im Zertifikat eingerichtet. Kann die Ursache meines Problems sein, dass nicht unter allen Subdomains der Port 80 erreichbar ist?

Kann mir einer dazu was sagen? Ist das eine mögliche Ursache oder ist das eine kalte Spur?
 
Was kann ich jetzt tun? Wie lange muss ich warten?
Ich meine einige Tage oder ne Woche. Auf jeden Fall ziemlich lang.

Edit:
Also ich habe ja auch eine Domain bei Strato (example.com), aber keine Subdomains, sondern jede Menge CNAMEs (Aliase) darauf (subx.example.com). Per DDNS aktualisiert wird nur example.com, die CNAMEs wechseln ja automatisch mit. Natürlich braucht man für sowas entweder je ein Zertifikat für jeden der Namen oder ein Zertifikat, dass alle Namen abdeckt (*.example.com). Letzteres geht auf der Syno mit Bordmitteln nur bei synology.me als Provider. Ich hab mir da mit ACME was gescriptet, dann geht das auch mit Strato. Ganz vollautomatisch hab ich's aber noch nicht hinbekommen, weil Strato keine DNS-API zur Aktualisierung der DNS-TXT-Records (DNS-Challenge) anbietet.

Edit2: Da hat sich wohl mein Edit und der Beitrag von @Fusion zeitlich etwas überschnitten.
 
Zuletzt bearbeitet:
Example.com ist eine offizielle Beispieldomain die man benutzen sollte für.... Beispiele. Die von dir gewählten Beispiele (mydomain) sind offiziell vergebene Domains die jemand Drittem aktuell gehören. Das sollte man vermeiden. Entweder die realen Domains die dir gehören, oder offizielle Beispiele.

Alle Domains die in EINEM Zertifikat als Common Name oder Subject Alternative Name (CN, SAN) angegeben sind müssen ALLE erreichbar sein auf Port 80 für die Validierung mit http-01.
Wenn für jede Domain ein eigenes Zertifikat erstellt wurde muss nur diese auch für die Erneuerung dieses einen Zertifikats erreichbar sein.

Wildcard Domains via dns-01 Validierung kann die Syno nur für Synology.me Domains erstellen.
Nur hier hat die DS über Umwege den notwendigen Zugriff auf die DNS Server VON Synology um die notwendigen TXT records abzulegen.
Aktuell geht es für eigene Domains nur über Umwege wie ein manuell installiertes acme.sh auf der Konsole.

Es reicht jede Subdomain bei Strato per CNAME auf EINE (ein und dieselbe) dynDNS bei Strato zu setzen. Das ändert zwar nix am Wildcard Problem (siehe oben), aber es braucht halt nicht X dynDNS.

Zu Rate Limits von Let's Encrypt
https://letsencrypt.org/de/docs/rate-limits/
 
@Fusion @Benares: vielen Dank für Eure ausführlichen Antworten.

Ich werde mich also mal in die Konfiguration des CNAME der Subdomains bei Strato (was muss ich da eintragen) und in ACME einarbeiten. Bei beidem kenne ich mich noch nicht aus. Gibt es einen guten Link für Newbies?

Eine Anmerkung noch zu "mydomain.de": die hatte ich manuell für meine reale Domain eingesetzt.
 
"mydomain.de" ist eine reale Domain, die gehört eben jemand bzw. einer Firma. Nur nicht dir. :)

sub.example.com mit CNAME auf deine.dyndns.tld in den DNS Einstellungen der Subdomain. Mehr nicht.
Fortan sind beide mit derselben IP verbunden.

Welcome to the rabbit hole...
Kenne leider kein Silbertablett für Anfänger.

Bare Metal:
https://github.com/acmesh-official/acme.sh
https://github.com/acmesh-official/acme.sh/wiki/Synology-NAS-Guide
https://github.com/acmesh-official/acme.sh/wiki/deployhooks#20-deploy-the-cert-into-synology-dsm

Docker:
https://www.christosgeo.com/2022/02/03/renew-lets-encrypt-certificates-on-synology-using-acme-sh/

Für die Automatisierung muss man sich mindestens einen der Hoster zur Hilfe nehmen für die acme.sh auch die DNS Einträge direkt manipulieren kann. Dann kann man mit einem Domain Alias / Challenge Alias arbeiten. Damit kann man dann auch Zertifikate ausstellen für Domains bei Hostern für die keine API verfügbar ist (z.B. Strato), und auch auf Servern die überhaupt nicht aus dem Internet erreichbar sind. Und man kann den einen Alias für wo man die DNS-API bedienen kann auch für beliebig viele andere Domains abfrühstücken. Bsp DNS-API / web-wrapper bei Hurricane Electric und Domains bei Strato, 1Blu oder sonst wo, wo man keinen remote Zugriff auf die DNS API hat und nur statische Einträge braucht.

Bsp., nicht unbedingt die optimale Beispielseite, aber als Anfang ...
https://www.my-it-brain.de/wordpres...g-des-dns-alias-modus-mit-dem-acme-sh-client/

Und für die Spitze noch mit 2FA, TOTP
https://github.com/acmesh-official/acme.sh/issues/2727#issuecomment-1039308674
 
Fehler gefunden! Problem gelöst!

Auf der Syno war in Systemsteuerung>Externer Zugriff>DDNS im Record zur Meldung meiner Domain bei Strato das Feld Externe Adresse (IPv4) von "automatisch" auf eine feste (manuelle), nicht mehr gültige IP umgesprungen.

Wieder auf "automatisch" umgestellt, aktualisiert und Zertifikat bei Let's Encrypt neu abgerufen - voilà!

Weiß der Teufel, wie sich das Ding auf eine veraltete IP festgegraben hat =:-o

Vielen Dank nochmal für die Unterstützung.
 
@Fusion: Ganz herzlichen Dank für die Links und die ausführlichen Erklärungen!

Das mit dem CNAME habe ich bereits umgesetzt. Funzt! Damit ist DynDS zwischen Strato und Synobox schonmal viel aufgeräumter. Mit DynDNS könnte ich sogar, weil es jetzt nur noch ein Record ist, auf die Fritz!Box umziehen.

Jetzt geht's noch ans Lesen des Materials ran.

"mydomain.de" ist eine reale Domain, die gehört eben jemand bzw. einer Firma. Nur nicht dir. :)
Schon klar. Um meine eigene Domain nicht zu zeigen habe ich mir willkürlich diese genommen, ohne zu wissen, dass sie reserviert ist. Mein Fehler!

Viele Grüße!
 
  • Like
Reaktionen: Fusion
Hallo,

ich klinke mich mal mit ein, da ich zu meinem Thema/Problem nichts finde.
Ich habe zwei Synology NAS im Netzwerk...hinter einer FritzBox. Beide sind mit einem Let's Encrypt Zertifikat ausgestattet, welche sich via Aufgabenscript erneuern. Dazu muss ja der Port 80 freigegeben werden, was aber ja nur für eine NAS so in der FritzBox funktioniert.
Bei der Zweiten Synology NAS meckert er ja nun immer rum, dass er dies nicht erneuern kann...außer ich stelle kurz den Port manuell darauf um.
Gibt es eine Möglichkeit, dies doch irgendwie so einzustellen, sodass die zweite NAS (ohne Port 80/433) Freigabe sich das Zertifikat selbst erneuert, bzw. fest bleibt?

Für Lösungen bin ich sehr dankbar!
 
Wie eingerichtet? Ein Synology oder über acme, o.ä.?
 
Hallo,

ganz normal über die Synology...bei beiden.
Also ein ...synology.me Zertifikat und ein Subdomain-Zertifikat ...meine-domain.com.
Wie geschrieben, betrifft es logischerweise nur die ohne Portfreigabe.
 
Für die Erneuerung der Hauseigenen (z.b. synology.me( DynDNS Lets Encrypt Zertifikate benötigst Du keinen Port 80 und auch keinen 443.
Schließ die und erneuere die Zertifikate mal manuell und berichte.
 
  • Like
Reaktionen: wegomyway und Benares
Hallo,
dies klappt leider eben nicht mit dieser Synology NAS, die keine 80/433 Portfreigabe hat, was ja auch so dasteht und ich so auch aus der Vergangenheit kenne, bzw. die andere NAS (mit 80. Portfreigabe) ja problemlos durchführt.
1707818185737.png1707818130872.png
 
klappt leider eben nicht mit dieser Synology NAS, die keine 80/433 Portfreigabe hat, was ja auch so dasteht und ich so auch aus der Vergangenheit kenne,
Eigentlich klappt das schon, ich habe keine offenen Ports und auf allen meiner DS verlängern sich die Example.synology.me Zertifikate selbstständig. Egal ob Wildcard, Subdomain oder das Standart Zertifikat.

Irgendwo, evtl. Firewall hakt da bei Dir etwas.
 
OK, das "Problem" kenne ich nicht anders und mit der geschätzt 20 Synology NAS in unterschiedlichen Konfigurationen (Router/Firewall/etc.).
Ist der Port nicht offen, funktioniert es nicht.
Also bleibt nur der Weg, dies immer wieder manuell zu machen.

Trotzdem danke...
 
Ich geb mal aktuell meine Erkenntnis preis.
War ne Woche auf Malle, und in dieser Zeit hat die 224+ natürlich nur Fotos7Videos in Masse bekommen.
Aber, der Grund ist der, dass das installierte Watchtower seine Arbeit korrekt erledigt hat. Gersten mal geschaut bei den Zertifikaten und was soll ich schreiben ?
Das LE-Zertifikat ist während meiner Abwesenheit automatisch/erfolgreich verlängert worden. Also so wie ich Watchtower installiert wurde, funktioniert es bestens.
Bei mir in der 7590 ist nur 443 offen und das Zertifikat ist für die xxx.myds.me
 

Additional post fields

 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat